Uvod u domene i šume Active Directory

Od svog osnutka, prije gotovo točno 20 godina uvođenjem izdanja Windows 2000 Server Edition u veljači 1999., Aktivni direktorij je bila ključna komponenta Microsoftovog poslužiteljskog ekosustava. Njegova osnovna svrha je čuvanje podataka o umreženim resursima. Računalne mreže mogu biti prilično složene. Posljedično, Active Directory također ima tendenciju složenim i zato je naš glavni cilj danas pružiti vam uvod u domene i šume Active Directory-a.

Ne želimo vas stvarati stručnjacima iz Active Directory-a, ali nadamo se da ćemo rasvijetliti ovu kompliciranu temu. Također, s obzirom na relativno visoku razinu složenosti tehnologije, ne iznenađuje da je stvoreno nekoliko alata trećih strana za nadgledanje i / ili upravljanje različitim aspektima Active Directorya. Stoga ćemo pogledati što neki od njih mogu učiniti za vas.

Evo kako planiramo put u jezgru Active Directorya: počet ćemo uklanjati bilo kakvu pomutnju u vezi s konceptom domene. To je ključni element AD-a, ali i ključni element Interneta, ali svejedno, to su dvije potpuno različite domene koje ne treba brkati. Tada ćemo predstaviti Active Directory, što je i odakle dolazi. Zatim ćemo raspraviti AD domene i stabla koja koristimo za predstavljanje njihove strukture. U prirodi se skupina stabala naziva šuma. Pa, ista je stvar i u Active Directoryu kao što ćemo vidjeti sljedeće. Upravljanje i nadgledanje Active Directory-a bit će naš sljedeći redoslijed poslovanja i konačno, dok ćemo o ovoj temi pregledati neke od najboljih alata za praćenje i upravljanje Active Directory-om.

Izbjegavanje konfuzije - što je domena?

Domena može biti mnogo stvari, ovisno o tome u kojem se polju nalazite. Pa čak i unutar informacijske tehnologije, pojam domena koristi se za dvije vrlo različite stvari. Prva vrsta domene, s kojom su poznati većina korisnika računala - čak i oni koji nisu računalni znanstvenici - je internetska domena. To je skupina internetskih izvora koji pripadaju određenoj organizaciji. Nazivi domena koriste se za pristup različitim resursima pomoću korisničkih (er) imena, a ne kriptičnih IP adresa. Na primjer, addictivetips.com je naziv domene ove web stranice. Microsoft.com je još jedno dobro poznato ime domene i prilično sam siguran da lako možete smisliti još desetine.

Drugo mjesto na kojem se široko koristi pojam domena odnosi se na Active Directory. Domena Active Directory skupina je resursa (primijetite sličnost s prethodnim domenama?) Obuhvaćenih jednom jedinom bazom podataka za provjeru autentičnosti. Ubrzo ćemo opisati AD domene sa više detalja. Za sada je ključno shvatiti da se isti pojam koristi za definiranje dva potpuno nepovezana koncepta i da je važno ne miješati ih jer oni definitivno nisu ista stvar.

Aktivni direktorij na licu mjesta

Prvo pitanje koje ljudi uglavnom postavljaju o Active Directoryu je: Što je to točno? Odgovor je jednostavan, Microsoftova implementacija usluge LDAP direktorija. Iako je ovaj odgovor apsolutno točan, možda je beskoristan i postavlja više pitanja nego što daje odgovore.

Kopajmo. Prvo, usluga direktorija, u kontekstu računalnih mreža, baza je podataka koja sadrži podatke o svakoj komponenti mreže. Pod komponentama podrazumijevamo svako računalo i poslužitelj, ali i svakog korisnika ili grupu korisnika ili svaki direktorij. Možete to smatrati telefonskim imenikom. Svaki resurs koji treba pronaći drugi resurs traži se u direktoriju.

Što se tiče LDAP dijela našeg početnog odgovora, to je kratica za Lagani protokol pristupa katalogu. Jednostavno rečeno, LDAP definira kako se informacije o resursima pohranjuju u bazi podataka i kako im se može pristupiti. To je industrijski standardni protokol kojeg dijeli nekoliko dobavljača, što, nažalost, ne znači da su različite implementacije interoperabilne.

Struktura Active Directory je hijerarhijska organizacija objekata. Postoje tri glavne kategorije objekata: resursi (na primjer, računala ili pisači), usluge (poput e-pošte) i korisnici (korisnički računi i grupe korisnika). Active Directory pruža informacije o objektima, organizira ih i kontrolira njihov pristup i sigurnost. To je u sve svrhe baza podataka unosa sa svakim unosom koji sadrži ime i skup atributa. Svaki atribut ima ime, vrstu i jednu ili više vrijednosti. Atributi su definirani u shemi baze podataka.

O hijerarhijskoj strukturi baze podataka Active Directory možete razmišljati kao o datotečnom sustavu. I baš kao što datotečni sustav ima spremnike (zvane direktorijume ili mape), i AD ih ima. Nazivaju se organizacijskim jedinicama (OU) i pomažu zajednički grupirati stvari. Administratori sustava mogu slobodno stvoriti OU onako kako smatraju prikladnim i nije neuobičajeno, na primjer, da vide pojedinačne OU za svaki odjel organizacije.

Domene aktivnog imenika

Sada kada smo svi na istoj stranici kao i što je Active Directory, pogledajmo domene. Zanimljivo je da su domene prethodile Active Directory nekoliko godina. Još prije nego što je Microsoft izdao vlastitu LDAP uslugu direktorija u 1999. godini, domene postoje od ranih dana Windows NT. U tipičnoj mreži Windows poslužitelja, barem jedan od njih, a često i dva ili više, konfiguriran je kao kontroler domena. Oni su poslužitelji u kojima se nalazi domena baze podataka, čime se autentificira korisnik i kontrolira pristup resursima. Informacije koje oni posjeduju kopiraju se među njima. I posljednje, ali ne najmanje bitno, predmeti u domeni su organizirano na hijerarhijski način.

Drveće i šuma

Analogija stabla često se koristi za opisivanje hijerarhijskih struktura poput domene. No, pomoću Active Directorya, Microsoft je odlučio tu analogiju gurnuti korak dalje i hijerarhijsku strukturu domena naziva stablom. Zapamtite, domena je skupina resursa pod kontrolom jedne baze podataka, ali stablo se iz različitih razloga može sastojati od nekoliko domena. To je nešto što je zapravo prilično uobičajeno u većim organizacijama i uopće nije neuobičajeno vidjeti jednu domenu za svaku podjelu velike tvrtke. A za još veće organizacije, drveće se može grupirati u šume. To je najviši element u Active Directoryu i sve ostalo proizilazi iz njega.

Upravljanje i nadzor aktivnog imenika

Monitoring je sve! Ako ste mrežni ili sistemski administratori, vjerojatno ste nebrojeno puta čuli tu frazu. I znate što? To je sve! Nadgledanje je jedan od najboljih načina da ostanete pri vrhu. Postoje razne vrste alata za praćenje koji će vam omogućiti točno dobivanje vrste mjernih podataka koje želite. Na primjer, praćenje propusnosti izvješćivat će o korištenju različitih segmenata mreže, Nadgledanje procesora prikazat će se procesori procesora na vašem poslužitelju. Može se nadgledati većina operativnih mjernih podataka sustava i mreža. Glavna prednost korištenja alata za praćenje jest ta što su oni uglavnom automatski. Ne morate ih stalno gledati. Kad god nešto nije neuobičajeno, upozorit će vas alat za praćenje.

U slučaju Active Directory-a može se pratiti nekoliko parametara. Na primjer, kontroleri domena - poslužitelji na kojima se pohranjuje baza podataka domene - mogu se nadgledati zbog reakcija i performansi. Promjene prava pristupa također se mogu nadgledati u određenu korist. Prijave - posebno neuspješne - još je jedan parametar koji vrijedi nadgledati jer može biti pokazatelj zlonamjerne aktivnosti.

Aktivno upravljanje direktorijima je nešto drugo. Microsoft nudi nekoliko alata koji vam pomažu u upravljanju Active Directoryom. Omogućit će vam izradu objekata, dodijeliti prava i općenito provoditi većinu dnevnih aktivnosti vezanih uz upravljanje AD-om. Međutim, neki od ovih alata mogu se pokazati prilično nezgodnim ili nepraktičnim za upotrebu, a nekoliko dobavljača je istupilo do nuditi razne alate za upravljanje aktivnim direktorijima koji mogu napraviti zadatak administriranja Active Directory-a mnogo lakše.

Najbolji alati za oglašavanje

Pregledali smo tržište za neke od najboljih alata Active Directory. Danas imamo za vas niz alata za praćenje - neki specifičnih za AD i neke generičke - i alata za upravljanje. Svi vam mogu pomoći - a ovo je bio jedan od naših glavnih kriterija za uključivanje - s vašim svakodnevnim zadacima, kada se odnose na Active Directory. Neki su sigurnosno orijentirani, dok su drugi orijentirani na performanse.

SolarWinds jedan je od najboljih izdavača softvera za mrežnu i sistemsku administraciju. Njegov vodeći proizvod nazvan je Monitor performansi mreže kontinuirano bilježi rezultate među najboljim mrežnim sustavima za nadzor propusnosti. Nadalje, tvrtka je poznata i po svom besplatnom softveru. Govorimo o manjim alatima, a svaki se bavi specifičnim potrebama mrežnih administratora. Dva sjajna primjera ovih besplatnih alata su Napredni podmrežni kalkulator i the Kivi Syslog poslužitelj.

Unatoč pomalo pogrešnom nazivu koji bi vas mogao navesti da vjerujete da se on bavi samo dozvolama objekata, SolarWinds upravitelj prava pristupa prvenstveno je usmjereno na pojednostavljivanje pružanja i opskrbe korisnicima, praćenje i nadzor. Također nudi moćan i jednostavan način upravljanja i nadgledanja korisničkih dozvola kako bi se osiguralo da nisu data nepotrebna dopuštenja.

• BESPLATNO ISPITIVANJE: SolarWinds upravitelj prava pristupa
• Poveznica za skidanje: https://www.solarwinds.com/access-rights-manager/registration

Jedna od najvećih snaga ovog proizvoda je intuitivna nadzorna ploča za upravljanje korisnicima koju vi mogu koristiti za stvaranje, izmjenu, brisanje, aktiviranje i deaktiviranje korisničkih pristupa različitim datotekama i mape. Sadrže predloške za uloge koji korisnicima lako mogu pristupiti određenim resursima na vašoj mreži.

Također su vrlo zanimljivi i vrlo jedinstveni SolarWinds upravitelj prava pristupaZnačajke izvješćivanja. Softver može stvoriti izvješća koja se mogu koristiti kao dokaz u slučaju spora ili eventualnih parnica. Dostupna su i detaljna izvješća radi revizije i sukladnosti s specifikacijama koje postavljaju regulatorni standardi koji se primjenjuju na vaše poslovanje. Izvješća se mogu brzo i lako stvoriti sa samo nekoliko klikova. Mogu uključiti sve podatke koje smatrate korisnim. Na primjer, aktivnosti prijavljivanja u Active Directory i pristupi poslužiteljima datoteka mogu biti uključeni u izvješće. Na korisniku je da ih učini sažetim ili detaljnijim koliko im je potrebno.

Napadi i / ili curenje podataka često se događaju kada mapama i / ili njihovom sadržaju pristupaju korisnici koji nisu - ili ne bi trebao biti - ovlašten za pristup njima, što je uobičajena situacija kada je korisnicima omogućen široko pristupačan mapama ili datoteka. SolarWinds upravitelj prava pristupa može vam pomoći u sprječavanju ove vrste propuštanja i neovlaštenih promjena povjerljivih podataka i datoteka. Administratorima nudi vizualni prikaz dozvola za više poslužitelja datoteka, a lako i vizualno omogućuje vidjeti tko ima što dopuštenje za koju datoteku.

Cijene za SolarWinds upravitelj prava pristupa temelji se na broju aktiviranih korisnika u Active Directoryu. U SolarWinds Ažurirani korisnik je aktivni korisnički račun ili račun usluge. Cijene proizvoda kreću se od 2 995 USD za čak 100 aktivnih korisnika. Za više korisnika (do 10 000), detaljne cijene mogu se dobiti kontaktiranjem SolarWinds prodaje. Ako želite testirati alat prije kupnje, može se dobiti besplatna neograničena probna verzija od 30 dana.

SolarWinds Monitor poslužitelja i aplikacija dizajniran je kako bi pomogao administratorima u nadzoru poslužitelja, njihovih operativnih parametara, procesa i aplikacija koje se pokreću na njima. To je jedan od najboljih alata koji možete koristiti za nadgledanje kontrolera domena Active Directory i kritičnih usluga koje im je potrebno pokrenuti. Ali alat će također nadzirati sve ili sve vaše poslužitelje. Lako se može skalirati od najmanjih mreža do velikih sa stotinama poslužitelja - fizičkih i virtualnih - koji se šire na više web lokacija.

• BESPLATNO ISPITIVANJE: SolarWinds Monitor poslužitelja i aplikacija
• Poveznica za skidanje: https://www.solarwinds.com/server-application-monitor/registration

Nadgledanje performansi Active Directorya koje nudi SolarWinds Monitor poslužitelja i aplikacija daje vam uvid u probleme s Active Directoryom koji se odnose na korisnički račun poput stvaranja računa, pokušaja promjene lozinke i resetiranja, onemogućenih i izbrisanih korisničkih računa. Također će pružiti informacije o promjenama pravila domene i sustava i oporavku podataka, jednako kao što pruža uvid u postavke vatrozida i ostale promjene sustava i trenutno pokrenute usluge. Alat također omogućuje praćenje LDAP sjednica. S obzirom na broj povezanih klijenata koji utječu na učitavanje poslužitelja, alat će nadzirati NTDS brojače objekata kako bi se spriječilo preopterećenje servera povezano s određenom LDAP sesijom. Pored toga, softver može pružiti uvid u napredne statistike, poput LDAP aktivnih niti, vremena vezanja, sesije klijenta, uspješnih veza / sek i pretraživanja / sek.

Početna konfiguracija proizvoda brzo se i lako vrši pomoću dvopropusnog postupka automatskog otkrivanja. Prvi prolaz otkriva svaki poslužitelj, a drugi će pronaći aplikacije na svakom otkrivenom poslužitelju. Iako ovaj postupak može potrajati, on se može ubrzati pružanjem popisa specifičnih aplikacija koje treba potražiti. Jednom kada se alat pokrene, korisnički grafički interfejs olakšava korištenje povjetarca. Nadzorna ploča alata može se prilagoditi osobama i prikazat će vam podatke u tablici ili u grafičkom obliku.

Cijena za SolarWinds Monitor poslužitelja i aplikacija starta od $ 2 995 i temelji se na broju nadziranih komponenti, čvorova i volumena. besplatna probna inačica od 30 dana dostupna je za preuzimanje, želite li isprobati proizvod prije kupnje.

3- Besplatni alati za oglašavanje s ManageEngine

ManageEngine je još jedno dobro ime s administratorima sustava i mreže. svoj ManageEngine OpManager paket spada među vrhunske alate za praćenje IT infrastrukture. Kao i neki od njegovih konkurenata, ManageEngine čini odlične besplatne alate. A što se tiče Active Directory-a, tvrtka nudi ne manje od petnaest besplatnih alata koji mogu pomoći u nadzoru i upravljanju vašom AD infrastrukturom. Postoji kombinacija samostalnih programa i Powershell cmdleta. Većina alata skupi se u jednom preuzimanju, pa njihovo nabavljanje ne bi trebao predstavljati puno problema. Pogledajmo što su neki od najzanimljivijih ovih alata.

• AD Upitni alat, kao što mu ime govori, omogućava vam čitanje bilo kojih podataka atributa koji su vam potrebni iz Active Directory-a
• Posljednji pretraživač prijava koristi se za popis posljednjeg vremena prijave za sve ili odabranih korisnika u svim odabranim kontrolerima domene. Obično se koristi za revizije i aktivnosti čišćenja.
• Aktivni upravitelj replikacije omogućuje administratorima replikaciju podataka u domeni kao i pruža sveobuhvatna izvješća o posljednjoj replikaciji.
• Izvještaj o ulozi kontrolera domene prikazuje sve kontrolere domene i njihove uloge u Domene.
• Alat za nadgledanje kontrolera domena je jednostavan, ali moćan alat. Automatski će otkriti domene i prikazati ih, pokazujući važne parametre kontrolera domena, kao što su korištenje CPU-a, korištenje diska i korištenje memorije.

• Upravitelj pravila o lozinkama omogućuje jednom dohvaćanje i pregled i uređivanje - pod uvjetom da ima odgovarajuća prava - pravila o zaporkama domene.
• Active Directory Duplicate Finder je Powershell uslužni program koji omogućava administratorima da identificiraju dvostruke unose za atribute Active Directory u domeni.
• Upravljanje računima usluga osmišljen je da vam pomogne u jednostavnom stvaranju, uređivanju i brisanju upravljanih računa usluga u samo nekoliko klikova.
• Izvješće o slabim zaporkama pomaže pronaći slabe lozinke u Active Directoryu uspoređujući korisničke lozinke s popisom od preko 100 000 najčešće korištenih slabih lozinki.

Ovo su samo neki od mnogih besplatnih Alati aktivnog imenika osigurava ManageEngine. Iako koristite zasebne alate za svaki pojedinačni zadatak, vjerojatno nije toliko praktično kao što je korištenje integriranog alata sa svim funkcionalnosti ugrađene, cijena ovih alata teško je pobijediti i sigurno bi ih mogla učiniti opcijom vrijednom s obzirom.

4- Aktivni administrator

Posljednji na našem popisu je Aktivni administrator iz Quest softver, koji je sada dio šumovita dolina. Ovo je cjelovito i integrirano softversko rješenje za upravljanje Active Directoryom. Time se premoštavaju praznine koje neki Microsoftovi alati ostavljaju. Ovo je vrsta alata koja omogućava lakše i brže ispunjavanje zahtjeva sigurnosti i revizije. Ima značajke koje se odnose na mnoga najvažnija područja upravljanja AD-om.

Među glavnim značajkama alata, Aktivni administrator nudi integriranu, proaktivnu administraciju. Ovo je također vrlo moćan alat za praćenje koji ima intuitivno izvještavanje i upozoravanje, omogućujući vam brzo otkrijte promjene i izvijestite o njima filtriranjem prema vrsti događaja, korisniku i datumu, kao i korisničkoj prijavi i zaključavanju aktivnost. Također možete postaviti upozorenja o događajima i automatski pokrenuti akcije temeljene na upozorenju.

Cijene za Aktivni administrator je po omogućenom korisničkom računu u vašem Active Directoryu i kreće se od 16,37 USD za trajnu licencu s jednogodišnjom podrškom. Morate kupiti minimalnu licencu za 20 korisničkih računa. Besplatna probna inačica od 30 dana može se preuzeti.